李耀華，鞏子瑜

中國民航大學(xué) 航空工程學(xué)院，天津 300300

系統(tǒng)安全性是指系統(tǒng)在規(guī)定的時間內(nèi)和預(yù)期的使用條件下，以可接受的風(fēng)險狀態(tài)執(zhí)行規(guī)定功能的能力[1]，側(cè)重于分析和評估系統(tǒng)發(fā)生故障或失效后其對系統(tǒng)造成的影響，著眼于降低故障發(fā)生概率、減輕故障發(fā)生后造成的系統(tǒng)損失、人員傷害以及環(huán)境破壞?，F(xiàn)代民航飛機系統(tǒng)通常是由高度集成的復(fù)雜系統(tǒng)組成，具有包含多種不同技術(shù)和人員交互特點[2]。分析和評估飛機系統(tǒng)在運營和維護(hù)過程出現(xiàn)的故障、失效或缺陷等不安全狀態(tài)對飛機運行安全的影響，并制定相應(yīng)的預(yù)防、控制和改進(jìn)措施，對保持飛機的持續(xù)適航性具有重要意義。

近年來國內(nèi)外十分重視系統(tǒng)安全性分析的研究[3-6]，Tamura等結(jié)合隨機過程中的更新過程理論和可修復(fù)故障樹模型對故障樹頂事件的穩(wěn)態(tài)發(fā)生概率進(jìn)行計算[7]；Nancy提出將經(jīng)典Petri網(wǎng)模型用于鐵路控制系統(tǒng)的安全性分析中，并提出了消除導(dǎo)致危險路徑的方法[8]；Abdulkhaleq等基于系統(tǒng)理論過程分析(STPA)的系統(tǒng)方法對全自動駕駛汽車的復(fù)雜結(jié)構(gòu)進(jìn)行操作安全性評估[9]。他們各自有著將系統(tǒng)組件獨立考慮、忽視系統(tǒng)中人的操作、定量計算時忽視組件失效率在運行中不同狀態(tài)的變化等局限性。依據(jù)SAE ARP5150標(biāo)準(zhǔn)[1]，在民機運營過程中需應(yīng)用有效且全面的手段對安全性進(jìn)行評估，及時調(diào)整，保證飛機達(dá)到安全設(shè)計水平。

國內(nèi)外功能共振分析法(FRAM)在船舶交通[10]、鋼鐵生產(chǎn)[11]、醫(yī)療操作[12]等領(lǐng)域的系統(tǒng)安全性研究有一定進(jìn)展，全面展示了復(fù)雜系統(tǒng)運行過程。在系統(tǒng)正常運行過程中可分析得出詳盡的潛在風(fēng)險，有助于安全評估正由事后分析轉(zhuǎn)向事前調(diào)整[13]。功能共振分析方法是由Hollnagel在創(chuàng)造性的提出，基于事故是由于正常執(zhí)行變異不期望的組合(共振)導(dǎo)致的假設(shè)建立[14]。Rogier等采用FRAM技術(shù)對“阿拉斯加261航班事故”進(jìn)行分析[15]，識別出導(dǎo)致事故的包括人、技術(shù)、組織在內(nèi)的不同因素，進(jìn)一步刻畫復(fù)雜耦合系統(tǒng)是如何超出系統(tǒng)安全邊界。2014年新加坡國立大學(xué)研究團(tuán)隊開發(fā)了一個名為FRAM Model Visualizer (FMV)的新工具，以標(biāo)準(zhǔn)化的圖像格式描述模型，并檢查其一致性和完整性[16]。

雖有FRAM計算機輔助工具，但規(guī)范化形式化描述變異可變性尚不完善，且使用FRAM時以定性分析居多，少有對可變性進(jìn)行定量評價。針對以上不足，本文提出改進(jìn)FRAM的系統(tǒng)安全性分析方法，對FRAM運用RFV描述，之后對系統(tǒng)模型進(jìn)行安全性定量評價，最后通過143號航班案例分析，驗證本文所提出模型的有效性和實用性。

1 系統(tǒng)FRAM模型的創(chuàng)建

FRAM是基于功能共振理論建立的非線性的安全模型，能夠直觀展示復(fù)雜人-技術(shù)-社會系統(tǒng)的交互過程，但圖像形式表示模型難以反應(yīng)飛機運營時人員設(shè)備交互過程中的可變性。本節(jié)使用RFV規(guī)范化形式化語言描述FRAM中的變異可變性，使元素間耦合的可變性容易理解，以便進(jìn)行后續(xù)的安全性評估。

1.1 系統(tǒng)功能共振模型的建立方法

FRAM從功能交互角度對系統(tǒng)進(jìn)行建模，旨在全面分析系統(tǒng)中存在的變異。全面準(zhǔn)確的安全性分析是對民航客機安全運營、創(chuàng)造價值的重要前提，但在實際飛機運營過程中，常常因為安全性分析方法不全面產(chǎn)生片面的分析結(jié)果。FRAM較全面地將功能分解為輸入(Input, I)、輸出(Output, O)、時間(Time, T)、前提(Preconditions, P)、資源(Resources, R)以及控制(Control, C)6個元素[14]，如圖1所示，進(jìn)行圖形化的功能與耦合分析。

選取正常運行的系統(tǒng)，首先明確維持系統(tǒng)支持系統(tǒng)運行的功能，之后定義功能的6個元素。通常將輸入、控制、資源、前提和時間稱為輸入端。各六角單位通過輸出和輸入端相連接，建立系統(tǒng)的功能網(wǎng)絡(luò)，從而解釋事件的正常發(fā)展過程。將發(fā)生在其他功能之前且可能會影響其他功能模塊的功能模塊稱作上游功能，發(fā)生在其他功能之后且可能會受其影響的功能模塊稱作下游功能。

圖1 FRAM六角功能模塊Fig.1 FRAM hexagonal function module

FRAM模型間共振的傳遞過程可表示為上游功能輸出影響下游功能的輸入端，通過功能間的耦合形成多條鏈路同時動作或傳遞信息保證系統(tǒng)正常運行。系統(tǒng)的波動可能來自上下游功能的耦合，上游功能的輸出傳遞到下游功能的輸入、資源、控制、前提或時間的過程中可能會發(fā)生變異并影響下游功能，從而產(chǎn)生下游功能的輸出波動，在功能網(wǎng)絡(luò)傳遞過程中某些異常就可能使系統(tǒng)運行由正常變?yōu)槲蓙y，導(dǎo)致事故發(fā)生。

1.2 系統(tǒng)功能共振模型形式化描述方法

功能可變性描述規(guī)則[17](RFV)可以描述為RFV={F,A,R,V}，包括以下幾點:所識別的功能、功能描述(包括功能的描述和功能之間的交互)、功能的耦合以及可變性。對于FRAM模型包括以下幾點:FRAM模型中的功能、功能的元素、輸入端與輸出端的共振傳遞以及功能及耦合的可變性。

在建模過程中形式化描述系統(tǒng)功能F、特征元素A的輸入為設(shè)計系統(tǒng)的人員與其操作的設(shè)備及人員和設(shè)備展開工作所需的條件，在限定的系統(tǒng)過程范圍內(nèi)分析確定。耦合關(guān)系R的輸入與特征元素A相關(guān)，為上游輸出端到下游功能某一輸入端的元素對，可根據(jù)維修手冊中的工作流程與設(shè)備工作原理得出?？勺冃訴的輸入由系統(tǒng)的運行過程中的功能失效和耦合變異組成，可由功能與耦合關(guān)系的異常狀態(tài)綜合分析得到。

正確建立的RFV有兩方面的好處:首先，通過以標(biāo)準(zhǔn)格式表示規(guī)則很容易理解，并且通過將功能與要交互的功能配對來檢查模型；其次，在FRAM模型中提取出具體實際含義的可變性，它將有助安全性評價過程中指標(biāo)體系的建立。以下為FRAM模型RFV的具體表現(xiàn)：

1)F是給定系統(tǒng)中的全部功能的集合。即F={FA1, FA2, FA3, …, FAm, FB1, FB2, FB3, …, FBn}其中:FB為背景功能，F(xiàn)A為動作功能；n,m為取值范圍，以此為基礎(chǔ)便于在2)中形式化描述功能的特征、在4)表示功能可變性。

2)A表示每個功能的特征元素(輸出、輸入、前提、時間、控制和資源)。A={ IA1, OA1, CA1, TA1, SA1, RA1, …, IAm, OAm, CAm, TAm, SAm, RAm, OB1, …, OBn}(m,n=1,2,3…)，功能特征在3)中形成輸入端元素與輸出端元素間的耦合關(guān)系。

3)R=F→F表示功能之間的關(guān)系，通常反映在上游輸出到下游功能某一方面的鏈路對上，即輸入端元素與輸出端元素間的耦合關(guān)系。R={OBnCAm, OBnTAm, OBnIAm, OBnSAm, OBnRAm, OAjCAk, OAjTAk, OAjIAk, OAjSAk, OAjRAk, …} (j,k=1,2,3，…且j≠k)。功能間關(guān)系在4)中表示輸入端元素與輸出端元素間耦合關(guān)系的可變性。

2 改進(jìn)FRAM系統(tǒng)安全性綜合評價模型

在安全性綜合評價模型中，使用RFV規(guī)范化形式化描述FRAM中的變異可變性系統(tǒng)安全性進(jìn)行定量評估，使得出的安全性分析結(jié)果更具參考價值。首先層次分析法(AHP)方法確定發(fā)生變異可能性指數(shù)P較高的功能元素耦合，然后對包含最可能發(fā)生變異耦合的鏈路進(jìn)行同一路分析，得到綜合嚴(yán)重指數(shù)S最高的鏈路，能夠更有針對性地預(yù)防鏈路中的風(fēng)險點。建立的改進(jìn)FRAM系統(tǒng)安全性綜合評價模型流程如圖2所示。

圖2 改進(jìn)FRAM系統(tǒng)安全性綜合評價流程Fig.2 Comprehensive evaluation process of FRAM system safety improvement

2.1 安全性分析的可變指數(shù)確定

在實際飛機運營過程中，常常因為安全性分析方法缺乏客觀指標(biāo)評價而產(chǎn)生片面的分析結(jié)果，利用AHP方法可較清晰地反應(yīng)各功能與耦合間可變指數(shù)的相對關(guān)系，較客觀地顯示系統(tǒng)發(fā)生異常共振的可能性。功能或耦合發(fā)生失效或變異的概率可稱為可變指數(shù)，利用層次分析法[18]分別對功能失效和耦合變異進(jìn)行可變指數(shù)計算。

首先，建立評價指標(biāo)體系：一級指標(biāo)為系統(tǒng)FRAM模型中各功能。根據(jù)一級指標(biāo)對FRAM模型中各自功能的耦合劃分成二級指標(biāo)。本文建立的民機安全性分析的可變指數(shù)評價體系如表1所示。對于輸入端耦合來說，可變指數(shù)越大越可能影響下游功能的輸出，影響到系統(tǒng)的穩(wěn)定運行，那么事故就可能發(fā)生。

然后使用層次分析法[19](AHP)確定權(quán)重的流程。通過比較判斷指標(biāo)的相對可變性，構(gòu)造判斷矩陣?yán)脴?biāo)度將指標(biāo)間的相對可變性定量化，通常使用Thomas[20]提出的1～9標(biāo)度衡量其關(guān)系，判斷矩陣標(biāo)度的含義如表2所示。請飛機設(shè)計、制造、維修等方面專家根據(jù)打分標(biāo)準(zhǔn)分別對上

表1 安全性分析評價指標(biāo)體系Table 1 Safety analysis evaluation index system

游功能的輸出對下游功能的輸入端(輸入、前提、時間、控制和資源)連接中的可變性進(jìn)行相對影響嚴(yán)重程度進(jìn)行打分，根據(jù)打分結(jié)果產(chǎn)生判斷矩陣。FAn功能輸入端耦合判斷矩陣A構(gòu)建如表3所示。

最后確定可變指數(shù)，如圖3所示。具體步驟如下：

1) 將判斷矩陣每一列歸一化：

(1)

表2 判斷矩陣標(biāo)度及其含義Table 2 Scale and meaning of judgment matrix

(2)

(3)

則w=[w1，w2，…，wn]T為所求的特征向量，即指標(biāo)可變指數(shù)。

3) 一致性檢驗及調(diào)整。

設(shè)判斷矩陣最大特征根為λmax，即

(4)

式中：(Aw)i為向量Aw的第i個分量；n為判斷矩陣階數(shù)。

為了檢驗判斷矩陣的一致性，需要計算一致性指標(biāo)CI：

表3 FAn功能輸入端耦合評判矩陣Table 3 FAn function input coupling evaluation matrix

圖3 AHP確定可變指數(shù)流程Fig.3 Process of determining variable exponential with AHP

(5)

設(shè)判斷矩陣平均隨機性一致性指標(biāo)RI，對于不同階數(shù)的判斷矩陣，RI的值可查表得出。計算一致性比例CR：

(6)

若CR<0.1，則判斷矩陣通過檢驗，其一致性是可以接受的，否則重新調(diào)整判斷矩陣。

4連通與8連通的示意圖如圖4所示。4連通時假設(shè)中心點★為0級灰度，當(dāng)A、B、C、D其中一個點灰度級為0，則★點與其他點有連接；8連通時假設(shè)中心點★為0級灰度，當(dāng)A、B、C、D、E、F、G、H其中一個點灰度級為0，則★點與其他點有連接。

2.2 可變性危害嚴(yán)重程度同一度評價方法

對功能間耦合變異可能性確定后，對包含變異耦合的鏈路[21]進(jìn)行嚴(yán)重程度評價，確定功能失效影響嚴(yán)重程度最大鏈路，對鏈路中失效影響程度較大的功能在民機飛行過程中進(jìn)行重點維護(hù)。同一功能在不同鏈路中起著不同的承接作用，且鏈路中包含多種功能，較難全面評價不同鏈路失效危害嚴(yán)重程度。利用同一度分析為各鏈路的失效嚴(yán)重程度進(jìn)行排序，進(jìn)而選出失效危害性最大的方案，從而避免總體影響較小但鏈路間影響差別較大的功能失效對系統(tǒng)安全影響的直接排除或分析不完善的影響，減少某單一功能失效對系統(tǒng)安全評估的片面的決定性影響，使分析結(jié)果更客觀，從而能夠更合理地從多條FRAM模型所包含的鏈路中確定最具有風(fēng)險的鏈路及其中失效影響嚴(yán)重程度較大的功能。

使用專家打分法(德爾菲法)對各個功能可變性危害嚴(yán)重程度進(jìn)行評分：設(shè)立評價集，用{非常嚴(yán)重、較嚴(yán)重、一般、較輕微、輕微}五級評語評定指標(biāo)。具體方法參照以下步驟進(jìn)行：

1) 列舉各系統(tǒng)中各功能，并列出功能連接成的維持系統(tǒng)正常運行的各條鏈路。

2) 制作定性指標(biāo)評價表，如表4所示，采用置信度的形式，對各指標(biāo)的評價等級進(jìn)行評價。置信度以小數(shù)表示，且各指標(biāo)的評價等級打分之和不能大于1。

3) 為了減弱評價過程中的主觀影響，可聘請多位專業(yè)人員，進(jìn)行多輪評價，對評價結(jié)果進(jìn)行綜合分析計算，見表5。

表4 功能失效嚴(yán)重程度評價Table 4 Evaluation of functional failure severity

通過同一度分析確定危害嚴(yán)重程度較高鏈路，對其中功能失效進(jìn)行重點預(yù)防。同一度分析流程[22]如下：

1) 確定理想方案

建立理想方案T，作為評價的基準(zhǔn)，理想方案的第k個指標(biāo)值為e0k。此次同一度分析的目的為在綜合各功能失效影響鏈路中確定綜合危害嚴(yán)重程度最大的方案，且各方案中的指標(biāo)作為鏈路中功能可變性對系統(tǒng)運行危害嚴(yán)重程度，即鏈路中功能失效產(chǎn)生的最嚴(yán)重影響指標(biāo)值為這次評價的基準(zhǔn)，所以分別取功能在各鏈路中的指標(biāo)最大值構(gòu)成理想方案。

2) 計算指標(biāo)值間的同一度

計算各鏈路與理想方案間的同一度，設(shè)同一度值為bik，其中eik(i=1,2,…,m;k=1,2,…,n)表示第i條鏈路、第k個指標(biāo)值，則有

(7)

3) 計算方案間的同一度

設(shè)同一度值為bi(i=1,2,…,m)，可得到各鏈路與理想方案之間的同一度：

(8)

4) 確定危險嚴(yán)重程度最高鏈路：

同一度值最大的備選鏈路即為危險嚴(yán)重程度最高鏈路：

D*=max(b1,b2,…,bm)

(9)

表5 功能失效發(fā)生嚴(yán)重程度指數(shù)Table 5 Severity index of functional failure

3 基于改進(jìn)FRAM的143號班機系統(tǒng)安全性分析

3.1 事故背景及經(jīng)過

一架波音767從蒙特利爾多瓦爾機場起飛以執(zhí)行飛往溫尼伯的143號班機任務(wù)。在飛機加油過程中，機務(wù)人員發(fā)現(xiàn)燃料顯示器沒有任何顯示。在進(jìn)行排故作業(yè)時，機務(wù)被打斷了工作，使燃料顯示器未能及時修復(fù)，并未對機長告知燃料顯示器最新狀態(tài)。飛行員回到駕駛艙后，機長認(rèn)為飛機狀態(tài)與上航段相同，采取與上航段相同的手工計算燃料量處理方法，告知加油員注入所需油量后以燃料測量棒測量油量，就可以令飛機安全飛行。于是飛行員決定補充燃油量并繼續(xù)前往埃德蒙頓的航程。

767-233客機采用的是公制單位，與傳統(tǒng)飛機的英制單位換算不同。地面工作人員在以人工計算加入機身內(nèi)的燃料量時，誤將英制計算時使用的換算參數(shù)代入公制計算式，結(jié)果只裝載了不到需要量一半的油料。當(dāng)?shù)厍谌藛T拿來加油記錄請機長進(jìn)行核對時，他檢查了相關(guān)的計算數(shù)據(jù)，卻仍然誤用了英制的換算系數(shù)而且并未察覺。機組人員將這些錯誤的資料輸入飛機上的飛行管理計算機內(nèi)，便起程前往埃德蒙頓。起飛后不久，機上警報油箱油量低，隨后引擎熄火，最終飛機滑翔至某一廢棄的皇家空軍基地緊急著陸[23]。

3.2 建立143號班機系統(tǒng)FRAM功能網(wǎng)絡(luò)模型

建立功能共振事故模型。事故是由燃油系統(tǒng)顯示失效后，加油量計算錯誤引起的。因此對正常燃油系統(tǒng)加油過程進(jìn)行功能模塊劃分，包括以下幾個模塊：燃油加注、油量傳感器、信號處理設(shè)備、油量顯示器、加油員作業(yè)、機務(wù)檢查、飛行員檢查、飛機正常起飛。將這8個過程確定為8個功能模塊，分析每一模塊的具體內(nèi)容。以功能模塊油量顯示器、加油員作業(yè)為例，具體內(nèi)容見表6。

表6 功能模塊特征元素Table 6 Function module specific content

通過分析每一模塊的特征元素，根據(jù)事故發(fā)生的過程，連接功能模塊，建立如圖4所示的系統(tǒng)正常運行的FRAM功能網(wǎng)絡(luò)模型。

3.3 143號班機模型形式化描述

根據(jù)功能可變性描述規(guī)則(RFV)，143號班機模型可以描述為RFV={F,A,R,V}，其中給定系統(tǒng)中的全部功能的集合F中的元素及其定義見表7。功能FA4中的每個功能的特征集合A中的元素及其定義見表8。功能FA4、FA6相關(guān)功能之間的關(guān)系集合R中的元素及其定義見表9。功能FA3、FA4相關(guān)功能之間的可變性集合V中的元素及其定義見表10。FA4功能輸入端耦合評判矩陣的構(gòu)建見表11。

圖4 系統(tǒng)FRAM功能網(wǎng)絡(luò)模型Fig.4 System FRAM functional network model

表7 功能的集合F中的元素及其定義Table 7 Elements in function set F and their definitions

表8 FA4功能的特征集合A中的元素及其定義

表9 功能FA4、FA6之間的關(guān)系集合R中的元素及其定義

表10 功能FA3FA4相關(guān)可變性集合V中的元素及其定義

3.4 確定安全性分析143號班機模型可變指數(shù)

建立評價指標(biāo)體系：一級指標(biāo)為系統(tǒng)FRAM模型中各功能。根據(jù)一級指標(biāo)對FRAM模型中各自功能的耦合劃分成二級指標(biāo)，如控制耦合、時間耦合、動作耦合、前提耦合、資源耦合5個影響因素。建立的143號班機FRAM安全性分析的可變指數(shù)評價體系如表12所示。

表11 FA4功能輸入端耦合評判矩陣Table 11 FA4 function input coupling evaluation matrix

由式(1)和式(2)得所求特征向量w=[0.053 3，0.477 3，0.335 9，0.133 6]。經(jīng)一致性判別，由式(3) ～式(6)得CR=0.026<0.1，表明一致性可接受。

表12 143號班機安全性分析可變指數(shù)Table 12 Flight 143 safety analysis variable index

3.5 143號班機功能失效嚴(yán)重程度同一度評價

對各鏈路變異發(fā)生嚴(yán)重程度評價指標(biāo)值進(jìn)行評價，與理想情況作對比，根據(jù)同一度偏差的大小確定鏈路中危害嚴(yán)重程度較高的功能對其失效要重點預(yù)防。對各個功能可變性危害嚴(yán)重程度進(jìn)行評分：設(shè)立評價集，用{非常嚴(yán)重、較嚴(yán)重、一般、較輕微、輕微}五級評語評定指標(biāo)。匯總專家評價表，各指標(biāo)的最終得分是專家評價的均值。具體方法參照以下步驟進(jìn)行：

1) 功能連接成的維持系統(tǒng)正常運行的各條鏈路為α鏈路、β鏈路、γ鏈路。

α鏈路為燃油加注后經(jīng)機務(wù)檢查正常的燃油傳感器信號經(jīng)數(shù)據(jù)處理器后顯示正確顯示加油量，加油員與飛行員之間核對加入量后起飛。

β鏈路為燃油注入油箱，油箱中燃油傳感器信號經(jīng)數(shù)據(jù)處理器后顯示正確顯示加油量，加油員與飛行員核對加油量，飛行員收到機務(wù)放行指令后起飛。

γ鏈路為燃油經(jīng)加油員工作輸入飛機，加油員向飛行員確認(rèn)加入正確油量，飛行員查看機務(wù)檢查正常的燃油傳感器信號經(jīng)數(shù)據(jù)處理器后顯示的剩余油量正常后起飛。

2) 制作定性指標(biāo)評價表，其中FA3功能失效嚴(yán)重程度定性評價如表13所示。

3) 為使評價過程中更加客觀，聘請多位民機領(lǐng)域?qū)＜?，進(jìn)行多輪評價，對評判結(jié)果進(jìn)行全面分析計算，得表14。

由圖5可知，γ鏈路中各功能失效后果嚴(yán)重性與其他鏈路相比，產(chǎn)生后果對系統(tǒng)綜合影響更為嚴(yán)重。

根據(jù)式(7)～式(9)計算得到：D*=max(b1,b2,b3)=max(0.73,0.77,0.93)=0.93。

表13 FA3功能失效嚴(yán)重程度定性評價

表14 143號班機功能失效發(fā)生嚴(yán)重程度指數(shù)Table 14 Severity index of Flight 143 failure

計算結(jié)果表明γ鏈路的危害嚴(yán)重程度指數(shù)與評價基準(zhǔn)最為相近，即γ鏈路異?？蓪?dǎo)致最嚴(yán)重的系統(tǒng)紊亂，且在γ鏈路中危害嚴(yán)重程度最高的功能為FA3。本節(jié)從擴展調(diào)查報告的分析角度，得出燃油經(jīng)加油員工作輸入飛機，加油員向飛行員確認(rèn)加入正確油量，飛行員查看機務(wù)檢查正常的燃油傳感器信號經(jīng)數(shù)據(jù)處理器后顯示的剩余油量正常后起飛鏈路對系統(tǒng)運行有重要影響，可通過提高燃油剩余顯示的可靠性保障鏈路正常。

4 結(jié) 論

1) 建立了基于改進(jìn)FRAM的民機系統(tǒng)安全性分析模型。首先將FRAM分析得出系統(tǒng)功能網(wǎng)絡(luò)，再利用RFV規(guī)則定義具有可變性的耦合，然后使用AHP方法確定耦合發(fā)生變異可能性指數(shù)P，最后選擇同一度分析進(jìn)行綜合評價，對系統(tǒng)不同鏈路中功能失效后果嚴(yán)重指數(shù)S進(jìn)行定量評估，結(jié)合指數(shù)S、P得出對系統(tǒng)的安全性分析結(jié)果。

3) 通過案例分析驗證了所建模型的準(zhǔn)確性，經(jīng)模型分析得出對系統(tǒng)正常運行具有較高危險性的因素，涵蓋不安全事件調(diào)查組得出的事故調(diào)查結(jié)果，并且額外提出了需提高燃油剩余顯示器輸出的可靠性、加油員未能通過油量顯示器得知飛機加油量等風(fēng)險點。本文的方法規(guī)范全面量化地分析出系統(tǒng)正常運行所需的功能及關(guān)系，包含了系統(tǒng)安全營所需的部件因素和人為因素，從而完善了民機系統(tǒng)安全分析理論，增強了系統(tǒng)安全分析工作的規(guī)范化與全面性，為飛機的安全運營提供保障。